Grafische Darstellung von Tarpit Logs mit Grafana

  Norbert Rüthers   Lesezeit: 6 Minuten

Wie man trockene Daten anschaulich präsentiert

grafische darstellung von tarpit logs mit grafana

Bereits am 10.1.2022 und 14.1.2022 schrieb ich 2 Artikel über Tarpit und die Auswertung von Tarpit Logdateien.

Das Auswertung war zwar auch mit den dort beschriebenen Methoden recht aufschlussreich, aber eine grafische Darstellung macht das ganze doch noch sehr viel anschaulicher. Was bietet sich dafür besser an als das Multitalent Grafana. Ein laufendes Tarpit ist natürlich Voraussetzung für diesen Artikel.

Nur kurz zur Auffrischung: Tarpit ist eine Anwendung die Angriffe über den SSH Zugang abfängt und in einer Zeitschleife gefangen hält. Das solche Angriffe oft und auch gezielt aus bestimmten Ländern kommen konnte man damals schon sehen. Die dabei anfallenden Logdateien machen neben der IP-Adresse auch die Herkunft des Angreifers sichtbar.

So weit so gut. Um die grafische Darstellung zu installieren, geht man auf diese Github-Seite

Die dort vorhandenen yml Dateien laden wir uns auf den Rechner/Server herunter.

Auf dem Terminal geben wir folgende Kommandos ein

wget https://raw.githubusercontent.com/shizunge/endlessh-go/main/examples/docker-simple/docker-compose.yml

wget https://raw.githubusercontent.com/shizunge/endlessh-go/main/examples/docker-simple/grafana-datasource.yml

wget https://raw.githubusercontent.com/shizunge/endlessh-go/main/examples/docker-simple/prometheus.yml

Die Dateien können bei Bedarf noch editiert werden was z. B. den Namen des verwendeten Netzwerks betrifft.

Was wir auf jeden Fall ändern sollten, ist in der Datei docker-compose.yml die IP die von Grafana verwendet wird

Grafana ist im Original nur localhost erreichbar und deshalb sollte der Eintrag auf 0.0.0.0 geändert werden.

Ebenfalls sollten die Einträge für das spätere Login auf Grafana durch sinnvolle Einträge ersetzt werden.

An dieser Stelle wird eine laufende Docker und docker-compose Umgebung vorausgesetzt.

Wer Infos dazu braucht findet sie hier.

Ich benutze auf meinem Proxmox ein Template in dem Docker, docker-compose und Portainer bereits enthalten sind und das dann für viele Projekte verwendet werden kann. Das vereinfacht die ganze Sache.

Anschliessend kann die Installation mit docker-compose up -d  gestartet werden

Danach kann man sich auch schon auf der Grafana Oberfläche anmelden mit: <IP-Adresse>:3000

An der Anmeldemaske benutzt man seine vorher definierten Login-Daten.

Danach geht man in den Bereich Dashboard. Grafana definiert die vielfältigen Benutzeroberflächen über Dashboards, die kann man selber erstellen oder auch fertig runterladen. Das tun wir in diesem Fall auch.

Im Bereich Dashboard gehen wir auf Import

In das Eingabefeld geben wir die Nummer 15156 ein. Dieses Dashboard kommt vom Entwickler.

Nach dem Import wählen wir unten noch als Datenquelle Prometheus aus.

Danach erscheint das Dashboard mit allen bis dahin vorhandenen Daten. Der Zeitraum der Erfassung lässt sich ebenso einstellen wie die Frequenz, mit der die Anzeige aktualisiert wird. Es braucht einige Datensätze und ein paar Tage Erfassungszeit um Tendenzen und Schwerpunkte sehen zu können.

Ich finde das ist doch schon sehr beeindruckend. Ab jetzt könnt ihr jedem der euch erzählt das er nichts zu verbergen hat diese Grafik zeigen

Viel Spass !

Tags

SSH-Tarpit, Raspberry Pi, Auswertung

Es wurden noch keine Kommentare verfasst, sei der erste!